Symbolbild für neues europäisches Bußgeldmodell

Das neue europäische Bußgeldmodell der EDSA – was Sie dazu wissen müssen

Die EDSA hat neue Leitlinien zur Berechnung von Bußgeldern für DSGVO-Verstöße veröffentlicht. Die Strafen könnten sich drastisch erhöhen– sollte das Modell in der Form in Kraft treten.

2022-07-07

Logo

Der EDSA (Europäische Datenschutzausschuss) hat ein neues Bußgeldmodell für die Berechnung von Bußgeldern bei datenschutzrechtlichen Verstößen erarbeitet. Damit sollen europaweit einheitliche Bußgelder bei DSGVO-Verstößen verhängt werden. Für Unternehmen wichtig zu wissen: Die Abschreckungswirkung ist ein zentraler Bestandteil dieses neuen Modells. Gerade für Unternehmen mit einem hohen jährlichen Umsatz und in EU-Ländern, in welchen Bußgelder bis jetzt relativ niedrig ausgefallen sind, kann eine Erhöhung von Bußgeldern erwartet werden.

Die EDSA beschließt ein neues Bußgeldmodell –  das steckt dahinter

Die Veröffentlichung eines neuen Bußgeldmodells ist lange überfällig, denn so sollen die Strafen aufgrund DSGVO-Verstößen in den einzelnen EU-Mitgliedstaaten vereinheitlicht werden. Auch die deutschen Datenschutzaufsichtsbehörden sollen ab sofort die neu erarbeiteten Vorgaben des Europäischen Datenschutzausschuss bei der Berechnung und Verhängung von Bußgeldern gemäß Art. 83 DSGVO heranziehen. Das veröffentlichte Bußgeldmodell ist jedoch noch nicht in Stein gemeißelt. Es wurde von der EDSA zwar bereits veröffentlicht, Mitsprache ist aber erlaubt: Fachkundige Personen wie Datenschutzbeauftragte, aber auch Vereinigungen und Unternehmen wird zugestanden, bis Ende Juni 2022 Anmerkungen zu den Leitlinien einzureichen. Ob diese in vollem Umfang von der EDSA berücksichtigt werden können, ist allerdings fraglich.

Wie funktioniert das neue Bußgeldmodell?

Die sog. „neuen Bußgelder für Europa“, die auf Grundlage des EDSA-Berechnungsmodells verhängt werden, berechnen sich in fünf Stufen. Wesentlich dabei sind vor allem die Aspekte der Wirksamkeit, Abschreckung und Verhältnismäßigkeit, die immer wieder von der EDSA hervorgehoben werden. Konkret gliedert sich das Modell in folgende Berechnungsschritte:

  1. Identifizierung des Verstoßes: Im ersten Schritt wird bestimmt, welches Verhalten bzw. welche konkreten datenschutzrechtlichen Verstöße eines Unternehmens der Geldbuße zugrunde liegen (Art. 83 Absatz 3 DSGVO).

  2. Einordnung: Nun wird die Ausgangsbasis für die genaue Berechnung des Bußgelds festgelegt. Dabei spielen insbesondere folgende Dinge eine Rolle: Die Bewertung der Einstufung in Artikel 83 Absatz 4 bis 6 DSGVO, die Schwere des Verstoßes sowie der Umsatz des Unternehmens als zentrales Element.

  3. Weitere Umstände: Im folgenden Schritt sollen weitere Umstände – verschärfende oder mildernde – mit in die Berechnung des Bußgelds mit einbezogen werden. Dies geschieht im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des Verantwortlichen. Hierbei wird generell neutral oder positiv angerechnet, wenn der Verantwortliche Maßnahmen ergreif

  4. Festsetzung der Höchstbeträge: In die Berechnung des Bußgelds fließen im vierten Schritt die einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verarbeitungsvorgänge mit ein. Diese dürfen von den vorherigen oder nachfolgenden Schritten nicht überschritten werden.

  5. Einschätzung der Geldbuße: Im letzten Schritt soll überprüft werden, ob das durch die bisherigen Schritte berechnete Bußgeld folgenden Anforderungen entspricht: Wirksamkeit, Abschreckung und Verhältnismäßigkeit (gemäß Artikel 83 Absatz 1 DSGVO). Hierbei sind noch letzte Anpassungen möglich, ohne allerdings den Höchstbetrag zu überschreiten.

Diese Konsequenzen sind zu erwarten

In der Vergangenheit wurden bei Verstößen gegen die DSGVO sehr unterschiedlich hohe Geldstrafen verhängt – diese reichten von kleineren Beträgen bis hin zu Millionenstrafen. Ziel des EDSA-Modells ist es nun, die Strafen zu vereinheitlichen – auch vor dem Hintergrund, dass sehr drastische Strafen immer wieder von Gerichten gekippt wurden. Zentral ist dennoch weiterhin der Aspekt der Abschreckung – so erhöht sich im neuen Bußgeldberechnungsmodell mit steigenden Unternehmensumsätzen auch die Bußgeldhöhe. Dies hat zur Folge, dass vor allem bei Unternehmen mit hohen Umsätzen Bußgelder ab sofort höher ausfallen könnten als bisher.

Ein weiterer interessanter Aspekt des EDSA-Modells ist, dass das Fehlverhalten von Mitarbeitern, das zu datenschutzrechtlichen Verstößen führt, einem Unternehmen „grundsätzlich unmittelbar zurechenbar“ ist – heißt konkret: Das Unternehmen haftet für Handlungen oder Unterlassungen von Mitarbeitern. Ein Grund mehr, den Datenschutz im Unternehmen stets priorisiert zu behandeln und alle Angestellten regelmäßig durch Datenschutzschulungen zu sensibilisieren.
 

 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 07.07.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr